解密沙盒技术在威胁防御中的应用

简介:

在计算机领域,沙盒这一概念很早就用以表示一个能够让恶意代码运行其中的安全隔离环境,方便研究人员对恶意代码进行分析。同样的概念现在被网络安全设备用于执行和检查网络信息流,发现那些躲过了传统安全措施的恶意代码。

由于能够虚拟仿真整个操作系统,沙盒便可安全地执行可疑代码,以便观察其所作所为。包括文档/磁盘操作、网络连接、注册/系统配置修改等等在内的恶意行为因此暴露无遗,从而消除威胁。

为何现在必须采用沙盒技术?

既然沙盒技术属于很早的技术,为什么又突然变得如此重要?因为当网络罪犯了解了更多普通的安全检测方法时,他们往往会将更多的投入放在安全规避方法的研发上。高级持续性威胁(APT)属于定制开发的针对性攻击。使用前所未见的(或“0day”)恶意软件,它们可以避开直接检测来利用薄弱点(没有修补的安全漏洞)。这些威胁来自于全新的或看似安全的URL主机和IP地址。它们的目的是使用那些千方百计绕过安全屏障并尽可能长时间地潜伏在雷达下的高级代码技术来危害它们的目标系统。今天,不论是新式入侵威胁,或以全新方式伪装的旧有入侵威胁,沙盒技术都可以帮助我们发现它们。

沙盒与恶意样本的对抗

沙盒技术的主要应用是准确地模拟恶意代码的行为。理想情况下,沙盒中的输出应当与代码在某个终端用户环境中运行时的输出完全相同。实际上,由于所涉及的变量数量的关系,产生完全相同的结果是很困难的。其类似于试图从种子开始种植两株完全相同植物的过程;即使极细微的水、光、温度和土壤成分的差异都会产生不同的结果。

漏洞程序(Exploit)与有毒App(Zpplication):

高级威胁能够伪装成为文档文件来欺骗员工开启文件(如Word、Excel或Adobe Reader)去运行恶意代码。若要检测出这种行为,沙盒必须从头至尾运行一系列的操作系统,每个操作系统都要运行多个应用程序版本。

32与64位,Windows XP与Windows7/8:

32位代码可同时运行于32位和64为环境下,因此恶意软件的作者更青睐32位,以获得最大的感染效果。如今大多数恶意软件仍然是可执行文件的形式,特别是可移植的可执行32位格式(PE32)。PE32文件能够同时在Window XP和7/8的环境中运行,所以大多数恶意行为都可以在XP(不支持64位代码)中观察到,而不需在7/8中进一步测试。但运行于带有CPRL的FortiSandbox的Fortinet杀毒引擎完全支持32位和64位代码以及多个平台:Window s、Mac、Linux、Android、Window Mobile、iOS、Blackberry和遗留下来的Symbian。

FortiSandbox助力企业应对新型威胁

FortiGuard实验室观察到的大多数威胁都是32位且用于在Windows XP环境中执行的。Windows XP仍是一个活跃的市场,也是一个易取的目标。若黑客(开发者)可以编写32位恶意软件,其就会在今天的XP上生效,也会在用户迁移到Windows XP /8时跨平台生效,所以,开发者没有必要专门制作针对Windows 7/8恶意软件。尽管FortiGuard实验室并没有预期64位威胁会立即发起攻击,但Fortinet使用其CPRL、杀毒引擎和FortiSandbox已经能够同时捕获这两种威胁。

网络环境一旦出现转变,其下受到支持的环境也会跟着转变。为了有效地捕捉病毒威胁,FortiSandbox根据现有的网络环境威胁同时在Windows XP和Windows 7/8的虚拟环境中配置资源,并以FortiGate和FortiSandbox整合了新式规避技术侦测功能和目标平台的强化技术。不止如此,FortiSandbox还通过代码仿真和杀毒引擎预过滤为O/S独立检测提供支持。

在今天的威胁形势下,沙盒提供了一个十分有用的新一层防御。使用得当的话,它会成为一个学习设备,最终与网关安全相结合,因此它可以快速识别网络上新的威胁活动并有助于做出事件反应,此类设备之间的集成能力最为关键。FortiGuard实验室不断地发现和监视新出现的规避技术,以便可以快速将反击更新与情报发送给Fortinet解决方案。Fortinet目前支持将FortiSandbox与FortiGate安全网关、FortiClient终端防御软件、FortiWeb WAF、FortiManager集中管理平台和FortiMail邮件安全网关等安全设备加以集成。


原文发布时间为:2015-11-26

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。






相关文章
|
8月前
|
存储 安全 测试技术
讲解移动应用的安全问题及如何防范。
移动应用安全涉及数据、认证、代码、网络及漏洞防护。关键措施包括数据加密、安全通信协议、认证授权、代码加固、安全测试及用户教育。开发者应关注最新安全威胁,与专业人士合作进行安全评估,确保应用安全。
84 5
|
8月前
|
机器学习/深度学习 监控 安全
网络安全产品之认识入侵防御系统
由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及,网络攻击的种类和数量也在不断增加,给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时,存在一定的局限性和不足,无法满足当前网络安全的需求。入侵防御系统(IPS)作为一种主动防御的解决方案应运而生。它可以实时检测和防御网络流量中的恶意攻击和威胁,通过串接的方式部署在网络中,对入侵行为进行实时阻断,从而极大地降低了入侵的危害。
489 1
|
1月前
|
监控 安全 网络安全
防患于未然:如何构建抵御.sstop勒索病毒的防线
近年来,勒索病毒攻击事件频发,给个人和企业带来了巨大的安全威胁。其中,.sstop勒索病毒以其独特的加密手段和传播途径,成为网络安全领域的一大隐患。本文将详细介绍.sstop勒索病毒的特点,以及如何恢复被其加密的数据文件和预防措施。
|
8月前
|
运维 监控 安全
安全防御之入侵检测与防范技术
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
215 0
|
8月前
|
存储 监控 安全
安全防御之恶意代码与防护技术
恶意代码是指没有作用却会带来危险的代码。通常把未经授权便干扰或破坏计算机系统、网络功能的程序或代码(一组指令)称之为恶意程序。恶意程序包括计算机病毒、木马、蠕虫等。恶意代码的防范,不是单靠一种或几种技术就能解决的,而要靠技术、管理以及用户安全意识的共同防范,只有三者相结合才能最大程度地防止恶意代码对系统和用户信息的破坏。
370 0
|
8月前
|
安全 网络安全 数据安全/隐私保护
网络安全攻防技术与实践:防御黑客入侵的有效手段
在当今互联网高速发展的时代,网络安全问题越来越受到人们的重视。黑客攻击已经成为一个严重的问题,给我们的个人隐私和企业的商业机密带来了极大的风险。本文将介绍一些网络安全攻防技术,以帮助读者加强网络安全意识,保护自己的信息安全。
|
8月前
|
安全 网络安全 数据安全/隐私保护
探索Web安全:强化防护与漏洞扫描技术
在当今数字化时代,Web安全已经成为企业和个人必须关注的重要问题。本文将介绍Web安全的重要性,以及如何通过强化防护与漏洞扫描技术来保护网站和应用程序的安全。同时,还将探讨一些最新的Web安全威胁和应对策略,帮助读者更好地了解和应对Web安全挑战。
112 0
|
SQL 安全 前端开发
《网络安全0-100》-网络攻击方式
《网络安全0-100》-网络攻击方式
190 0
|
SQL 安全 搜索推荐
渗透测试SQL注入延伸攻击与防御措施
几年前,SQL注入在世界范围内很流行,但现在,SQL注入仍然是最流行的攻击方法之一,开发人员为此头疼。当然主要是因为注入攻击的灵活性,一个目的,多条语句,多种编写方法。SQL注入可以分为工具和手工两种。由于自动化,工具通常比手动注入效率高得多,但与手动注入相比,它们受到限制,因为它们没有针对性。
193 0
渗透测试SQL注入延伸攻击与防御措施